千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 开发技术 >

如何防止请求绕过网关直接访问后端服务

发表于:2024-11-14 作者:千家信息网编辑
千家信息网最后更新 2024年11月14日,这篇文章主要讲解了"如何防止请求绕过网关直接访问后端服务",文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习"如何防止请求绕过网关直接访问后端服务"吧!解决方
千家信息网最后更新 2024年11月14日如何防止请求绕过网关直接访问后端服务

这篇文章主要讲解了"如何防止请求绕过网关直接访问后端服务",文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习"如何防止请求绕过网关直接访问后端服务"吧!

解决方案

我觉得防止绕过网关直接请求后端服务的解决方案主要有三种:

  • 使用Kubernetes部署

    在使用Kubernetes部署SpringCloud架构时我们给网关的Service配置NodePort,其他后端服务的Service使用ClusterIp,这样在集群外就只能访问到网关了。

  • 网络隔离

    后端普通服务都部署在内网,通过防火墙策略限制只允许网关应用访问后端服务。

  • 应用层拦截

    请求后端服务时通过拦截器校验请求是否来自网关,如果不来自网关则提示不允许访问。

这里我们着重关注在应用层拦截这种解决方案。

实现思路

实现思路其实也很简单,在请求经过网关的时候给请求头中增加一个额外的Header,在后端服务中写一个拦截器,判断请求头是否与在网关设置的请求Header一致,如果不一致则不允许访问并给出提示。

当然为了防止在每个后端服务都需要编写这个拦截器,我们可以将其写在一个公共的starter中,让后端服务引用即可。而且为了灵活,可以通过配置决定是否只允许后端服务访问。

接下来我们看看核心代码。(代码中涉及 SpringBoot 编写公共Starter的套路,相信看过我博客的同学肯定是会的,因为之前文章有详细说过。)

实现过程

  • 在网关 cloud-gateway模块编写网关过滤器
@Component
@Order(0)
public class GatewayRequestFilter implements GlobalFilter {

    @Override
    public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        byte[] token = Base64Utils.encode((CloudConstant.GATEWAY_TOKEN_VALUE).getBytes());
        String[] headerValues = {new String(token)};
        ServerHttpRequest build = exchange.getRequest()
                .mutate()
                .header(CloudConstant.GATEWAY_TOKEN_HEADER, headerValues)
                .build();

        ServerWebExchange newExchange = exchange.mutate().request(build).build();
        return chain.filter(newExchange);
    }

}

在请求经过网关时添加额外的Header,为了方便这里直接设置成固定值。

  • 建立公共Starter模块 cloud-component-security-starter

  • 编写配置类,用于灵活控制服务是否允许绕过网关
@Data
@ConfigurationProperties(prefix = "javadaily.cloud")
public class CloudSecurityProperties {

    /**
     * 是否只能通过网关获取资源
     * 默认为True
     */
    private Boolean onlyFetchByGateway = Boolean.TRUE;

}
  • 编写拦截器,用于校验请求是否经过网关
public class ServerProtectInterceptor implements HandlerInterceptor {

    private CloudSecurityProperties properties;

    @Override
    public boolean preHandle(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response, @NonNull Object handler){

        if (!properties.getOnlyFetchByGateway()) {
            return true;
        }

        String token = request.getHeader(CloudConstant.GATEWAY_TOKEN_HEADER);

        String gatewayToken = new String(Base64Utils.encode(CloudConstant.GATEWAY_TOKEN_VALUE.getBytes()));

        if (StringUtils.equals(gatewayToken, token)) {
            return true;
        } else {
            ResultData resultData = new ResultData<>();
            resultData.setSuccess(false);
            resultData.setStatus(HttpServletResponse.SC_FORBIDDEN);
            resultData.setMessage("请通过网关访问资源");
            WebUtils.writeJson(response,resultData);
            return false;
        }
    }

    public void setProperties(CloudSecurityProperties properties) {
        this.properties = properties;
    }
}
  • 配置拦截器
public class CloudSecurityInterceptorConfigure implements WebMvcConfigurer {

    private CloudSecurityProperties properties;

    @Autowired
    public void setProperties(CloudSecurityProperties properties) {
        this.properties = properties;
    }

    @Bean
    public HandlerInterceptor serverProtectInterceptor() {
        ServerProtectInterceptor interceptor = new ServerProtectInterceptor();
        interceptor.setProperties(properties);
        return interceptor;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(serverProtectInterceptor());
    }
}
  • 编写starter装载类
@EnableConfigurationProperties(CloudSecurityProperties.class)
public class CloudSecurityAutoConfigure{

    @Bean
    public CloudSecurityInterceptorConfigure cloudSecurityInterceptorConfigure() {
        return new CloudSecurityInterceptorConfigure();
    }

}
  • 建立资源文件spring.factories,配置Bean的自动加载
org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
   com.javadaily.component.security.configure.CloudSecurityAutoConfigure
  • 在后端服务配置文件中添加属性配置,默认只能通过网关访问
javadaily:
  cloud:
    onlyFetchByGateway: true

经过以上几步,一个公共的Starter模块就构建完成了。

  • 后端服务引用此公共Starter模块即可,以 account-service为例

 com.jianzh6.cloud
 cloud-component-security-starter

实现效果

直接访问后端服务接口
http://localhost:8010/account/getByCode/jianzh6

返回结果:

{
  "message": "请通过网关访问资源",
  "status": 403,
  "success": false,
  "timestamp": 1611660015830
}

感谢各位的阅读,以上就是"如何防止请求绕过网关直接访问后端服务"的内容了,经过本文的学习后,相信大家对如何防止请求绕过网关直接访问后端服务这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是,小编将为大家推送更多相关知识点的文章,欢迎关注!

很赞哦!
网关 服务 配置 拦截器 模块 资源 思路 方案 解决方案 学习 应用 一致 代码 内容 应用层 文件 文章 提示 普通 接下来 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 新乡瀚海网络技术有限公司橱窗 csgo选不了服务器怎么办 脑脊液数据库建立 db2数据库备份异地恢复 手机无限网络主服务器连接异常 软件开发项目负责人简历 做项目数据库是自己建立还是购买 ktv点歌机服务器 有私人空间的服务器 c软件开发工程师是干啥的 lnmp数据库 数据库比较基础的知识点 网络安全法根本修改 软件开发前端 后台 武汉工控网络安全 崇明区智能网络技术采购信息 哪些服务器可以启动多个端口 南昌app软件开发的价格 手机软件app软件开发 十三五期间网络安全成就 上海正规软件开发技术指导 学习软件开发去哪里学 推荐mc好玩服务器进去送装备 池州直播平台软件开发费用 苹果链接服务器出现问题怎么回事 北京软件开发条件 163魔兽数据库 如何关闭服务器上的安全设置 服务器主机开机顺序 正德创融资讯网络技术

相关文章

0